数论与群论密码学-14-Torsion Points

由于并未得知任何对 Torsion Points 的中文翻译,本文斗胆称其为“捩点”。 “捩”字的选择首先源于其在词“转捩点”(转折点)中“扭转”之意,其次又有日语将 "Torsion" 译为「捩れ」的事实。

\(E/K\) 为一椭圆曲线,\(N \ge 1\) 为一整数。定义 \(E(K)\) 上的 \(N\)-捩点 为满足

\[NP = P_\infty\]

的点 \(P \in E(K)\).

更多地,定义

\[E(K)[N] = \{P \in E(K) : NP = P_\infty\}\]

\(E(K)\) 中所有 \(N\)-捩点构成的集合。该集合形成 \(E(K)\) 的子群。

若取 \(N = 1\),有 \(E(K)[1] = \{P_\infty\}\)

若取 \(N = 2\),有

\[P = (x, y) \in E(K)[2] \iff P = (x, 0)\]

其中 \(x \in K\)\(f(x) = 0\)

如前文所述,若 \(P_i = (x_i, y_i) \in E(K)\),则

\[ P_1 + P_2 = P_\infty \iff x_1 = x_2, y_1 = -y_2 \tag{$\star$} \]

因此

\[ \begin{aligned} P = (x, y) \in E(K)[2] &\iff 2P = P_\infty\\ &\iff P + P = P_\infty\\ &\stackrel{\star}{\iff} x = x, y = -y\\ &\stackrel{\text{假设 $\mathsf{char}(K) \ne 0$}}{\iff} y = 0 \end{aligned} \]

更多地,\((x, 0) \in E(K) \iff f(x) = 0 \text{ 且 } x \in K\).

因此,有

\[E(K)[2] = \{(x, 0) : x \in K, f(x) = 0\} \cup \{P_\infty\}\]

\[\big| E(K)[2] \big| \le 4\]

若取 \(N = 3\),有 \(P \infty \in E(K)[3] \iff P \in E(K) \text{ 且 } P \text{ 为 } E \text{ 上的拐点}\).

其中 \(E\) 上的拐点(Inflection Point) \(P\) 为使得在点 \(P\)\(E\) 的切线 \(T_P\)\(E\) 仅有 \(P\) 一个交点的点,即满足 \(T_P \cap E = \{P\}\) 的点 \(P\).

\[ \begin{aligned} 3P = P_\infty &\iff 2P = -P\\ &\iff T_P \cap E = \{P, P\} = \{P\} \end{aligned} \]

由于可以证明 \(E\) 上至多可以有 9 个拐点,因此 \(\big| E(K)[3] \big| \le 9\).

更多地,对于任何域 \(K\) 以及 \(N \ge 1\),群 \(E(K)[N]\) 都同构于 \(\mathbb{Z}/N\mathbb{Z}/N\mathbb{Z}\) 的一个子群。因此

\[ \#(E(K)[N]) \mid N^2 \tag{1} \]

并且存在点 \(P_1, P_2 \in E(K)[N]\) 满足

\[ E(K)[N] = \{n_1P_1 + n_2P_2 : 0 \le n_i < N\} \]

更多地,若 \(K\) 是代数封闭的,且 \(\mathsf{char}(K) \not \mid N\),有

\[ \big| E(K)[N] \big| N^2 \tag{3} \]

在这样的情况下,式 2 右侧的元素逐不相同。

以上广义形式的命题很难证明。然而在 \(K = \mathbb{C}\) 的情况下,由于有解析描述,可以很轻易地得到证明。特别地,有

\[ E(\mathbb{C})[N] \simeq (\mathbb{C}/\Lambda)[N] = \{Z + L : NZ \in L\} \]